|
Plagegeister aller Art und deren Bekämpfung: Fund bei Malwarebytes - Security Hijack -Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.05.2012, 11:42 | #1 |
| Fund bei Malwarebytes - Security Hijack - Hallo, ich habe heute das Programm Malwarebytes durchlaufen lassen und es hat einen Fund angezeigt. Dieser sieht wie folgt aus: Anbieter: Security.Hijack Kategorie: Registry Key Objekt: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe (Security.Hijack) Ist das ein harmloses Programm, was ich ignorieren/entfernen kann oder ist es was bösartiges? Danke für jede Hilfe |
07.05.2012, 14:27 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack - Unvollständige Logs sind sinnfrei!
__________________
__________________ |
07.05.2012, 16:18 | #3 |
| Fund bei Malwarebytes - Security Hijack - Hier den Bericht:
__________________Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.07.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 ****** :: ****-A8469***8 [Administrator] 07.05.2012 10:43:28 mbam-log-2012-05-07 (12-41-01).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 278114 Laufzeit: 19 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe (Security.Hijack) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
07.05.2012, 19:05 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack -Zitat:
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten |
07.05.2012, 19:27 | #5 |
| Fund bei Malwarebytes - Security Hijack - Meinst alle Dateien, die nach nem Scan entstanden sind (sind ca. 20 Stück) soll ich einfügen oder nur die, die einen Fund haben? Ich habe die Datei noch nicht entfernt. Irgendwie kann ich den Scanvorgan nich mehr einsehen. Lasse den PC grad nochmals durchlaufen. |
07.05.2012, 19:45 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack - Mir reichen die Logs mit den Funden erstmal wenns so viele sind
__________________ --> Fund bei Malwarebytes - Security Hijack - |
07.05.2012, 19:59 | #7 |
| Fund bei Malwarebytes - Security Hijack - 1. Malwarebytes' Anti-Malware 1.45 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 4493 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.11.2010 09:45:04 mbam-log-2010-11-29 (09-45-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 177899 Laufzeit: 13 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\Programme\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 2. Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 5481 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 11.02.2011 16:03:20 mbam-log-2011-02-11 (16-03-20).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 202836 Laufzeit: 22 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 1380 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully. 3. Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 5740 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 11.02.2011 16:58:22 mbam-log-2011-02-11 (16-58-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 206129 Laufzeit: 14 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: c:\programme\gemeinsame dateien\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> 296 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\gemeinsame dateien\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully. |
07.05.2012, 20:01 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack - Ach da sind ja auch zimelich alte Logs bei Führ bitte auch ESET aus, danach sehen wir weiter: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
07.05.2012, 20:01 | #9 |
| Fund bei Malwarebytes - Security Hijack - 4. Malwarebytes' Anti-Malware 1.51.2.1300 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7802 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.09.2011 20:07:36 mbam-log-2011-09-26 (20-07-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 244944 Laufzeit: 19 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully. c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully. Und der, den ich als erstes eingetragen habe. |
08.05.2012, 09:13 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack - Ok, machst du dann noch ESET?
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2012, 10:52 | #11 |
| Fund bei Malwarebytes - Security Hijack - ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=3222bad5b7fcf44d9b87f6c4aaceed94 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-07 07:08:46 # local_time=2012-05-07 09:08:46 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 38714624 38714624 0 0 # compatibility_mode=1792 16777191 100 0 7364449 7364449 0 0 # compatibility_mode=8192 67108863 100 0 259 259 0 0 # scanned=96 # found=0 # cleaned=0 # scan_time=12 ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=53251 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=3222bad5b7fcf44d9b87f6c4aaceed94 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-07 07:22:43 # local_time=2012-05-07 09:22:43 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 38714675 38714675 0 0 # compatibility_mode=1792 16777191 100 0 7364500 7364500 0 0 # compatibility_mode=8192 67108863 100 0 310 310 0 0 # scanned=39953 # found=0 # cleaned=0 # scan_time=798 ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=3222bad5b7fcf44d9b87f6c4aaceed94 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-09 10:27:29 # local_time=2012-05-09 12:27:29 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 38853966 38853966 0 0 # compatibility_mode=1792 16777191 100 0 7503791 7503791 0 0 # compatibility_mode=8192 67108863 100 0 139601 139601 0 0 # scanned=86768 # found=3 # cleaned=0 # scan_time=2194 C:\Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I C:\Programme\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I |
11.05.2012, 11:25 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack - Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2012, 11:30 | #13 |
| Fund bei Malwarebytes - Security Hijack - Also spontan würd ich sagen, dass alles i.O. ist. Mir ist nichts gegenteiliges aufgefallen. Aber um es 100 % sagen zu können, müsste ich nochmals bewusst nachschauen. |
11.05.2012, 12:19 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Fund bei Malwarebytes - Security Hijack - Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2012, 12:20 | #15 |
| Fund bei Malwarebytes - Security Hijack - Hab gerade eben nachgesehen. 1.) normaler Modus geht uneingeschränkt 2.) ich habe auch keine leere Ordner unter Programme und es ist alles vorhanden. |
Themen zu Fund bei Malwarebytes - Security Hijack - |
bieter, bösartiges, file, fund, heute, hijack, image, malwarebytes, microsoft, programm, registry, security, software, version, windows |